• 



Docket: T2 147-906625 
IN THE UNITED STATES PATENT AND TRADEMARK OFFICE 2 



In re application of 
Patrick LEQUERE 
Serial No.: 

Filed: Concurrently Herewith 

For: Architecture of an encryption Circuit 
Implementing Various Types of 
Encryption Algorithms Simultaneously 
Without a Loss of Performance 



Examiner: 
Group Art Unit: 



McLean, Virginia 
November 7, 2000 



in" 



CLAIM FOR PRIORITY 

Assistant Commissioner of Patents 

and Trademarks 
Washington, D.C. 20231 

Sir: 

In the matter of the above-identified application, a claim for priority is 
hereby made under the provisions of 35 U.S.C. 119, for the benefit of the filing date 
of the corresponding French application No. 9914067 filed 9 November 1999, which 
is referred to in the Declaration of the present case, 

A certified copy of said French application is filed herewith in support 

of said claim. 

Respectfully, 

MILES (S^STQCKBRIDGE^^.C. 




1751 Pinnacle Drive, Suite 500 
McLean, Virginia 22102-3833 
Telephone: (703) 903-9000 



Edward J; Kendracki 
Reg, No. 20,604 




This Page Blank (uspto) 



(Tj^^ R r^^^ BLIQUE TRANCA S 

INSTITUT ll> >^*i^^^^=S;^ 

NATIONAL DE 
LA PROPRIETE 

INDU5TRIELLE 0 




BREVET D'INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 

Le Directeur general de I'lnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 

Fait a Paris, le 2 5. .OCL - 20iJO 

Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du D^partement des brevets 

Marline PLANCHE 




INDUSTRIELLE Tel^copie : 01 42 93 59 30 



OB 267/250298 



ETABLISSEMENT PUBLIC NATIONAL CREE PAR LA LOI 51-444 DU 19 AVRIL 1951 




"I's Page B/onk (uspfo) 



■ IHSTITUT 
NATtONAl OB 
LA PROPRIITB 
INOUSTKieLLB 



26 bis, rue de Saint P^tersbourg 
75800 Paris Cedex 08 

T6l6phone : 01 53 OA 53 04 T6l6copie : 01 42 93 59 30 

R6serv6 k I'lNPI 



BREVET D'INVENTION,^RTIFICAT D'UTILITE 

Code de la propriety ihtellectueHe-Uvr* VI 

requEteen dEuvrance 

Confirmation d'un d6p0t par t^ldcopie | | 

Cet imprim6 est i rempiir A fencre noire en tettres capitales 



N** 55 -1328 



i 



DATE DE REMISE DES PIECES 

N° D'ENREGORlMKaA/iorlv099 

DEPARTEME^Di'cypAT'^^?'^ Q Q j^gy ^ggg 

DATE DE DEP6T QQ^ 4067 



2 DEMANDE Nature dutitredepropriMindustrielle 

Q brevet rf invention [Zl demande dtvislonnaire 



[~1 certificat d'utilite 



tnitiale 



I I transformation d'une demande 

de brevet europ^en j— j 



['invention 



NOM ET ADRESSE DU DEIMANDEUR OU DU MANDATAIRE 
A QUI lA CORI^SPONDANCE DOIT tTRE ADRESS£E 

BULL S.A. 

Monsieur Jean-Philippe LEROUX 

68, route de Versailles 
PC : 58F35 

78434 LOUVECIENNES Cedex 



n'du pouvoir permanent ! refer ence s du correspondant 

PG 4972 i FR 3858 JPL 



t6I6phone 

01.39.66.69.35 



r~| certificat d'utilit6 n** 



date 



^tabltssement du rapport de recherche Q differ^ LII immediat 

Le demandeur, personne physique, requtert le paiement ^elonn^ de la redevance Qj] 



litre de Pinvention (200 caracteres maximum) 



Architecture d'un circuit de chifTrement mettant en oeuvre diflerents types d'algorithmes de 
cbifTrement simultanement sans perte de performance. 



3 DEMANDEUR (S) n'siREN | fa 4 . U .0 » / j V . 
Nom et pr^noms (souligner le nom patronymique) ou denomination 

BULL S.A. 



300C 



code APE7*AF 



Forme juridique 



Natlonaind (s) 



Franfaise 



Adresse (s) complete (s) 



BULL S.A. 

68, route de Versailles 

78430 LOUVECIENNES 



Pays 

FRANCE 



4 INVENTEUR (S) Les Inventeurs sont les demandeurs 



Eocas d'insuffisance de place, poursuivre sur papier tibre Q]] 



I I oul ^5 Si la r6ponse est non, foumir une dteignation s6par6e 



5 R^UCTION DU TAUX DES REDEVANCES 



I I requise pour la lere fois requlse ant^rfeurement au depdt ; joindre copie de la d^slon d'admission 



6 DECLARATION DE PRIORnt OU R£QU£lE DU B^^CE DE LA DA1E DE DI^PdT D'UNE DEMANDE ANTtRIEURE 

paysd'origlne numto date de depdt nature de la demande 



7 DIVISIONS 



anterieures d la presente demande 



date 



date 



8 SlGNA-niREDU DEMANDEUR OUDU MANDATAIRE^ 

(nom et qualite du signataire^ 

Jeao-Philippe 




e BuU S.A 



SIGNATURE DU PROPOSE A LA RECEPTION SIGNATURE APR^S ENREGISTREMENT DE UA DEMANDE A L'INPI 




I^PI 

il^HHH INSTITUT 




BREVET D'INVEN1#<, CERTIFICAT D'UTILITE ^ 




DESIGNATION DE L'INVENTEUR ' 



HATIOHAL DE 
LA PROPRICTB 
INDUSTRIKLLE 



(si le demandeur n'est pas I'inventeur ou Tunique inventeur) 



FR3858 JPL 



N*- D'ENREGISTREMENT NATIONAL 



DEPARTEMENT DES BREVETS 



26bis, rue de Saint-Petersbourg 
75800 Paris Cedex 08 

Tel. : 01 53 04 53 04 - Telecople : 01 42 93 59 30 



TTTRE DE INVENTION : 

Architecture d'un circuit de chifTrement mettant en oeuvre differents types 
d'algorithmes de chifTrement simultanement sans perte de performance. 



L£{S) SOUSSIGN^IS) 



BULL S.A. 



d£SIGNE(NT) en TANT QU1NVErrrEUR(S) (indiquer nom, prenoms. adresse et souligner le nom patronymique) : 

Le Ouere Patrick 

14, allee Pierre Ronsard 

9 1 140 Villebon sur Yvette 

France 



NOTA : A titre exceptionnei, le nom de I'inventeur peut etre suivi de celul de la society ^ laquelle il appartient (societe d'appartenance) 
lorsque celle-cl est diff6rente de la soci6te d6posante ou titulaire. 

Date et signature (s) du (des) demandeur (s) ou du mandataire 

Louvecienaes, le 9 novembre 199^^ 




1 



Architecture d*un circuit de chiffrement mettant en oeuvre diffdrents types 
d'algoritlimes de chiffrement simultan^ment sans perte de performance. 

La presente invention se situe dans le domaine du chiffrement et concerne plus 
5 particulierement une architecture d'un circuit de chiffrement mettant en oeuvre 
differents type d'algorithmes de chiffrement simultanement. 
Cette architecture est materiaiisee par un circuit supporte par une carte PCI, 
abreviations anglo-saxonnes pour "Peripheral Component Interconnect", et 
permet d'impiementer differents algorithmes de chiffrement en parallele sans 
10 perte de performance, sur une machine (serveur ou station). Elle joue 
egalement le role d'un coffre fort ou sont conserves les Elements secrets (cles 
et certificats) necessaires ^ toute fonction de chiffrement electronique. 
Le besoin accru de performance en cryptographie associe a celui d'inviolabilite 
conduit les fournisseurs de systemes de securite k privilegier des solutions 
15 materielles sous forme de carte additionnelle. 

Une telle carte couplee a un serveur constituera Telement materiel de securite 
du serveur. 

On connaTt des implementations d'architectures de securite a base de 
composants ASIC, abreviations anglo-saxonnes pour "Application Specific 
20 Integrated Circuit", et qui necessitent des couts de developpement eleves pour 
une solution qui restera figee aussi bien du cote constructeur que du c6te 
utilisateur. 

□'autre part, il n'existe pas aujourdhui d'architecture capable d'executer un 
ensemble d'algorithmes de maniere simultanee avec un debit garanti pour 

25 chacun d'entre eux. 

Uinvention a notamment pour but de pallier les inconvenients precites et de 
repondre aux nouvelles exigences du marche de la securite. 
A cet effet. I'invention a pour objet une architecture d'un circuit de chiffrement 
traitant simultanement differents algorithmes de chiffrement, le circuit etant 

30 apte a etre couple a un systeme hote heberge par une machine informatique. 
Selon I'invention, le circuit comporte : 




- un module entree/sortie, responsable des echanges des donnees entre le 
systeme hote et le circuit via un bus PCI ; 

- un module de chiffrement, couple au module entree/sortie, en charge des 
operations de chiffrement et de dechiffrement ainsi que du stockage de toutes 

5 les informations sensibies du circuit ; et 

- des moyens desolation entre le module entree/sortie et le module de 
chiffrement, rendant inaccessibles au systeme hote les informations sensibies 
stockees dans le module de chiffrement, et assurant le parallelisme des 
traitements effectues par le module entree/sortie et le module de chiffrement. 

10 L' invention a pour premier avantage de permettre Texecution rapide des 
principaux algohthmes de chiffrement selon deux niveaux de parall6lisme. un 
premier parallelisme au niveau des traitements effectu6s par le module 
entree/sortie et le module de chiffrement, et un deuxieme parallelisme dans 
rexecution des differents algorithmes de chiffrement. 

15 ^invention a pour autre avantage de rendre invisible au systeme hote, toutes 
les ressources d'encryptage mises a la disposition du systeme et d'assurer le 
stockage securise de secrets tels que les cles et les certificats. Les fonctions 
sensibies de la carte (algorithmes et cles) sont toutes localisees dans le 
module de chiffrement et sont inaccessibles depuis le bus PCI. 

20 L' invention a egalement pour avantage de faire cohabiter des implementations 
materielles et logicielles de differents algorithmes de chiffrement sans pertes 
de performance en garantissant les debits pour chacun d'entre eux. 
Elle a encore pour avantage d'etre evolutive par le choix de technologies 
standards a microprocesseurs et logique programmable par opposition a des 

25 implementations plus classiques a base de circuits specifiques (ASIC). 
Uinvention permet notamment d'implementer des algorithmes proprietaires par 
simple modification du code des processeurs de chiffrement ou par chargement 
d'un nouveau fichier de configuration des automates de chiffrement du module 
de chiffrement. 



D'autres avantages et caracteristiques de la presente invention apparaitront a 
la lecture de la description qui suit faite en reference S la figure annexee qui 
represente le schema bloc d'une architecture selon invention. 
Par commodite, on designera dans la suite de la description le module de 
5 chiffrement/dechiffrement par "module de chiffrement". 

Les liaisons entre cheque module sont tous des liens bidirectionnels sauf 
specifies. 

Le circuit de chiffrement 1 selon Tinvention s*articuie autour de deux modules 
principaux : 

10 - un module entree/sortie 2 responsabie des echanges de donnees entre les 
ressources de chiffrement et un systdme hdte HS via un bus PCI ; et 

- un module de chiffrement 3 en charge des operations de chiffrement et de 
dechiffrement ainsi que du stockage des secrets. 

Ces deux modules 2 et 3, delimites respectivement par une ligne fermee en 
15 trait mixte, dialoguent au travers d'une memoire double-port DPR 4 qui permet 
rechange des donnees et des commandes/statuts entre les deux modules 2 et 
3. 

Une liaison serie SL pilotee par le module de chiffrement 3 permet en outre de 
rentrer les des de base par un chemin securise SP independent du chemin 
20 fonctionnel normal (bus PCI) r§pondant ainsi a I'exigence impos§e par la 
norme FIPS140. 

Cette liaison SL est connectee a la carte 1 via un module EPLD 5, abreviations 
anglo-saxonnes pour "Erasable Programmable Logic Device", couplee entre le 
module entree/sortie 2 et le module de chiffrement 3 et qui assure le coherence 
25 logique entre les modules. 

Le module entree/sortie 2 comporte les elements suivants : 

- un microcontroleur lOP 6 constitue principalement d'un processeur 6i et 
d'une interface PCI 62, integrant des canaux DMA. abreviations anglo- 
saxonnes pour "Direct Memory Access". Ce sont des canaux specifiques. ou 

30 dedies au processeur, par lesquels transitent les donnees echangees entre les 




memoires. couplees au processeur, sans utiliser les ressources du 
processeur ; 

- une memoire flash 7 qui est une memoire qui conserve les donnees 
stockees sans source d'alimentation et dont la capacite m6moire est par 

5 exemple de 512 Kilo-octets ; et 

- une memoire SRAM 8. abreviations anglo-saxonnes pour "Static Random 
Acces Memory", qui est une memoire qui necessite une source d'alimentation 
pour conserver les donnees stockees dans la memoire et dont la capacite 
memoire est par exemple de 2 Mega-octets. 

10 Les transferts de donnees entre le module de chiffrement 3 et le systeme hote 
HS ont lieu en simultaneite avec les operations de chiffrement realis6es par le 
module de chiffrement 3 permettant ainsi d'optimiser les performances globales 
de la carte 1 . 

La memoire flash 7 contient le code du processeur du microcontrdleur lOP 6. 
15 Au demanrage, le processeur recopie le contenu de la memoire flash 7 dans la 
memoire SRAM 8 ; le code s'executant dans cette memoire pour plus de 
performance. 

La memoire SRAM 8 peut aussi etre remplacee par une memoire SDRAM, 
abreviations anglo-saxonnes pour "Synchronous Dynamic RAM", qui est une 
20 memoire dynamique rapide. 

Le microcontrdleur lOP 6 est capable de gerer ce type de memoire sans perte 
de performance. 

Le choix du microcontrdleur depend principalement des objectifs de 
performance desires ainsi que de la consommation totale de la carte 
25 supportant le circuit qui est generalement limitee a 25 W (specification PCI). 
La memoire double-port DPR 4 realise Tisolation entre le module entree/sortie 
2 et le module de chiffrement 3 rendant ainsi ce dernier inaccessible au 
systeme hdte HS. 

Sa capacite memoire est dans Texemple decrit de 64 Kilo-octets. Elle stocke 
30 temporairement les donnees qui sont destinees a §tre chiffrees ou dechiffrees 
par des automates de chiffrement du module de chiffrement 3. 
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Elle est divis6e en deux zones : 

- une zone de comnnandes, par exemple de 4 Kilo-octets, dans laquelle le 
microcontroleur lOP 6 ecrit les blocs de commandes a destination des 
automates ; et 

5 - une zone de donnees. par exemple de 60 Kilo-octets, contenant les donnees 
destinees ^ etre traitees par les automates. 

Le module de chiffrement 3 comporte un premier et un deuxieme sous-module 
de chiffrement 3i et 82, delimites respectivement par une ligne fermee 
discontinue. 

10 Le premier sous-module 3i comporte un composant SCE 9, abr^viations anglo- 
saxonnes pour "Symetric cipher engine", dedie au traitement des algorithmes 
de chiffrement sym6triques, couple au bus de la memoire double-port 4. 
Le deuxieme sous-module 82 est dedie au traitement des algorithmes de 
chiffrement asymetriques. 

15 II est couple au bus de la memoire double-port 4, et comporte un bus interne 
distinct et isole du bus de la memoire double-port 4. 
II comporte en outre : 

- un ou deux processeurs CIP IO1, IO2, abreviations anglo-saxonnes pour 
"Cipher processor" ; 

20 - un processeur ACE IO2. abreviations anglo-saxonnes pour "Asymetric cipher 
processor", qui dans une variante de realisation remplace Tun des deux 
processeurs de chiffrement CIP IO1, IO2 ; 

- une memoire CMOS 11, par exemple de capacite memoire de 256 Kilo- 
octets, sauvegardee par pile ; 

25 - une memoire flash PROM 12, abreviations anglo-saxonnes pour 
"Prorammable Read Only Memory", par exemple de capacite memoire de 51 2 
Kilo-octets ; et 

- une memoire SRAM 13, par exemple de capacite memoire de 256 Kilo- 
octets. 

3b Comme illustre sur le schema bloc de la figure, le composant SCE 9 et la 
memoire CMOS 1 1 sont couples directement au bus de la memoire double-port 




DPR 4 tandis que les processeurs CIP 10i et IO2, les m§moires flash 12 et 
SRAM 13 sont couplees ^ un bus distinct et isole du bus de la memoire double- 
port DPR 4 au moyen d'un isolateur de bus 14, appele egalement "transceiver** 
de bus, et represents sur la figure par un bloc avec deux fleches tete-beche. 
5 La memoire flash PROM 12 situee sur le bus des processeurs CIP IO1 et IO2 
contient {'ensemble des logiciels exploites par le module de chiffrement 3. 
Le role de la memoire SRAM 1 3 est double : 

- elle permet d'une part. rex6cution rapide du code des processeurs CIP IO1 
et IO2 ; le code est recopie dans la mSmoire ^ la mise sous tension S partir de 

10 la memoire flash PROM 12 ; 

- elle permet d'autre part, de stocker temporairement les donnees pendant 
rexecution des algorithmes. 

Cette particuiarite de Tarchitecture garantit Tindependance des differents 

automates de chiffrement les uns par rapport aux autres. 
15 Le processeur CIP IO1 et le processeur ACE IO2 accedent tous deux a la 

memoire double-port DPR 4 pour lire ou ecrire les donnees a chiffrer mais la 

totalite du traitement des algorithmes proprement dit s'effectue dans leur 

espace memoire propre (antememoire interne et SRAM 13) sans interferer 

avec le composant SCE 9. 
20 Le composant SCE 9 integre les differents automates de chiffrement 

symetriques (un automate par algorithme) du type DES, RC4. etc. ainsi qu'un 

generateur de nombres al6atoires non represents. 

Chaque automate travaille independamment des autres et accede a la memoire 
double-port DPR 4 pour lire son bloc de commande (inscrit par le 
25 microcontroleur lOP 6) et les donnees a traiter correspondantes. 

Le parallelisme du traitement ainsi realise permet de garantir un debit optimal 
pour chaque algorithme meme en cas d'utilisation simultanee des automates. 
La seule limitation du traitement est imposee par Tacces a la memoire double- 
port DPR 4 qui est partagee par tous les automates. 
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La bande passante du bus de donnees vers cette memoire doit done etre 
superieure ^ la somme des debits de chaque algorithme pour ne pas limiter la 
performance de ceux-ci. 

Le composant SCE 9 est realise en technologie programmable connue 
5 egalement sous I'appellation FPGA, abreviations anglo-saxonnes pour "Field 

Programmable Gate Array," at qui est un circuit, ou puce, programmable 

comportant une grande densite de portes logiques, ce qui apporte toute la 

soupiesse necessaire pour implementer, a la demande, de nouveaux 

algorithmes notamment des algorithmes proprietaires. 
10 Les donn6es de configuration de ce composant sont contenues dans la 

memoire flash PROM 12, et sont chargees dans le composant SCE 9 S la mise 

sous tension sous controle du processeur CIP 10i. 

Le processeur CIP 10i implemente, selon un logiciel de programmation 
determine, les algorithmes non implementes dans le composant SCE 9. 11 
15 implemente aussi les algorithmes asymetriques de type RSA avec ou sans 
Taide de Tautomate specialise implemente par le processeur ACE IO2. 
II prend en compte Tinitialisation des parametres de securite (cles) via la liaison 
serie SL. 

L'utilisation d'un processeur performant a ce niveau garantit des performances 
20 optimales dans Texecution des algorithmes ainsi qu'une grande flexibilite pour 
implementation d'algorithmes additionnels. 

On peut aussi, grace a ce processeur, telecharger des algorithmes 
proprietaires via la liaison serie SL. 

Selon un premier mode de realisation, deux processeurs CIP IO1 et IO2 sont 
25 implementes : 

L'un IO1 est requis pour I'execution de I'algorithme RSA, I'autre 1 02 implemente 
les algorithmes non encore supportes par le composant SCE 9. 
assiste par un processeur ACE IO2 remplagant Tun des deux processeurs CIP 
IO1 et IO2 du premier mode de realisation, et qui implemente. en logique 
30 programmable, le calcul intensif lie au protocole de I'algorithme RSA. 
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Tous les algorithmes requis sont implementes en logique programmable dans 
des automates du composant SCE 9. 

Ce composant est realise en technologie programmable FPGA. 
La memoire CMOS 11 contient les des et autres secrets de la carte 1. Elle est 
5 sauvegardee par une pile et protegee par differents mecanlsmes de securite 
SM 15 connus qui, en cas d'anomalies sont traduites comme une tentative 
d'intrusion et effacent son contenu. 
Ces anomalies sont par exemple dues a : 

- une elevation ou un abaissement anormal de la temperature ; 

10 - une elevation ou un abaissement anormal de la tension d'alimentation ; 

- un desenffichage de la carte ; 

- une tentative ^intrusion physique (du c6t6 de la carte ou du systeme hote) ; 

- etc. 

Chacun des dvenements ci-dessus declenche un signal d'alarme qui agit sur la 
15 remise a zero de la memoire CMOS 1 1 . 





REVENDICATIONS 

1. Architecture d'un circuit (1) de chiffrement traitant simultanement differents 
5 algorithmes de ciniffrement, le circuit etant apte ^ §tre couple a un systeme 

hote (HS) heberge par une machine informatique, caracterisee en ce que le 
circuit comporte : 

- un module entree/sortie (2), responsable des echanges des donnees entre 
le systdme h6te (HS) et le circuit (1) via un bus dedie (PCI), 

10 - un module de chiffrement (3), couple au module entree/sortie (2), en charge 
des operations de chiffrement et de dechiffrement ainsi que du stockage de 
toutes les informations sensibles du circuit (1) ; et 

- des moyens d' isolation (4) entre le module entree/sortie (2) et le module de 
chiffrement (3), rendant inaccessibles au systeme h6te (HS) les informations 

15 sensibles stockees dans le module de chiffrement (3), et assurant le 
parallelismes des traitements effectues par le module entree/sortie (2) et le 
module de chiffrement (3). 

2. Architecture selon la revendication 1 , caracterisee en ce que les moyens 
20 desolation du circuit (1) comporte une memoire double-port (4) couplee entre le 

module entree/sortie (2) et le module de chiffrement (3), comportant son propre 
bus et assurant a la fois Techange des donnees, des commandes et des statuts 
entre les deux modules (2 et 3). et isolation entre les deux modules (2 et 3). 

25 3. Architecture selon Tune quelconque des revendications 1 et 2, caracterisee 
en ce que le module de chiffrement (3) comporte : 

- un premier sous-module de chiffrement (3i), dedie au traitement des 
algorithmes de chiffrement symetriques, couple au bus de la memoire double- 
port (4) ; 

30 - un deuxieme sous-module de chiffrement (32) dedie au traitement des 
algorithmes de chiffrement asymetriques (4), couple au bus de la memoire 
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double-port (4), et comportant un bus interne distinct et isole du bus de la 
memoire double-port (4) ; et 

- une memoire CMOS (11) couplee S la memoire double-port (4) via le bus de 
la memoire double-port contenant les cles de chiffrement ; et 

5 

4. Architecture selon la revendication 3. caracterisees en ce que le premier 
sous-module de chiffrement (3i) comporte un composant d'encryptage (9) 
couple § la m6moire double-port (4) via le bus de la memoire (4). comportant 
differents automates de chiffrement dedies respectivement au traitement des 

10 algorithmes de chiffrement symetriques, et en ce que le deuxieme sous-module 
de chiffrement (82) comporte au moins deux processeurs de chiffrement (IO1 et 
IO2), dedies respectivement au traitement des algorithmes de chiffrement 
asymetriques. couples au module d'encryptage (9) via le bus interne du 
deuxieme sous-module (82) qui est isole du bus de la memoire double-port par 

15 un isolateur de bus (14). 

5. Architecture selon la revendication 4, caracterisee en ce que les deux 
processeurs (Id et IO2) du module de chiffrement (3) sont de type CIP. 

20 6. Architecture selon la revendication 4, caracterisee en ce que Tun (IO1) des 
processeurs de chiffrement (Id et IO2) est de type CIP. et en ce que Tautre 
(IO2) est detype ACE. 

7. Architecture selon la revendication 6, caracterisee en ce que le processeur 
25 de chiffrement (IO2) de type ACE est realise en technologie programmable 

FPGA. 

8. Architecture selon Tune quelconque des revendications 4 a 7, caracterisee 
en ce que le module d'encryptage (9) est de type SCE. 

30 




9. Architecture salon la revendication 8, caracterisee en ce que le module 
d'encryptage (9) est realise en technologie programmable FPGA. 

1 0. Architecture selon Tune quelconque des revendications 3 a 9. caracteris§e 
5 en ce que le deuxieme sous-module de chiffrement (82) comporte en outre une 

memoire flash PROM (12),et une memoire SRAM (13) couples au bus interne 
du sous-module (32). 

11. Architecture selon Tune quelconque des revendications 3 ^ 10, 
10 caracterisee en ce que la memoire CMOS (11) est protegee par des 

mecanismes de securite (15) d6clenchant la remise a zero de la memoire 
CMOS (1 1 ) en cas d'alarme. 

12. Architecture selon Tune quelconque des revendications 1 a 11, 
15 caracterisee en ce que le module entr§e/sortie (2) comporte : 

- un microcontroleur (6) comportant un processeur entree/sortie (61) et une 
interface PCI (62) integrant des canaux DMA charges d'executer les transferts 
de donnees entre le systeme hote (HS) et le circuit (1 ) ; 

- une memoire flash (7) contenant le code du processeur entre/sortie (61) ; et 
20 - une memoire SRAM (8) qui regoit une copie du contenu de la memoire flash 

(7) au demarrage du processeur entree/sortie (61). 

13. Architecture selon Tune quelconque des revendications precedentes. 
comportant une liaison serie (SL) pemnettant de rentrer des des de base par 

25 un chemin securise independant du bus PCI, caracterisee en ce que la liaison 
est pilotee par le module de chiffrement (3). 
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14. Architecture selon la revendication 13. caracterisee en ce que la liaison 
serie (SL) permet le telechargement d'algorithmes proprietaires dans le 
premier sous-module de chiffrement (3i), 
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Architecture d'un circuit de chiffrement mettant en oeuvre differents types 
d'algorithmes de chiffrement simultanement sans perte de performance. 

La presente invention se situe dans le domaine du chiffrement et concerne plus 
particulierement une architecture d*un circuit de chiffrement mettant en oeuvre 
differents type d'algorithmes de chiffrement simultanement. 
Cette architecture est materialisee par un circuit supporte par une carte PCI, 
abreviations anglo-saxonnes pour "Peripheral Component Interconnect", et 
permet d'implementer differents algorithmes de chiffrement en parallele sans 
perte d§ performance, sur une machine (serveur ou station). Elle joue 
egalement le role d'un coffre fort ou sont conserves les elements secrets (cles 
et certificats) necessaires a toute fonction de chiffrement electronique. 
Le besoin accru de performance en cryptographie associe a celui d'inviolabilite 
conduit les fournisseurs de systemes de securite a privilegier des solutions 
materielles sous forme de carte additionnelle. 

Une telle carte couplee a un serveur constituera Teiement materiel de securite 
du serveur 

On connaTt des implementations ^architectures de securite a base de 
composants ASIC, abreviations anglo-saxonnes pour "Application Specific 
Integrated Circuit", et qui necessitent des couts de developpement eleves pour 
une solution qui restera figee aussi bien du cote constructeur que du cote 
utilisateur. 

□'autre part, il n'existe pas aujourd'hui d'architecture capable d'executer un 
ensemble d'algorithmes de maniere simultanee avec un debit garanti pour 
chacun d'entre eux. 

L'invention a notamment pour but de pallier les inconvenients precites et de 
repondre aux nouveiles exigences du marche de la securite. 
A cet effet, I'invention a pour objet une architecture d'un circuit de chiffrement 
traitant simultanement differents algorithmes de chiffrement, le circuit etant 
apte a etre couple a un systeme hote heberge par une machine informatique. 
Selon rinvention, le circuit comporte : 




- un module entree/sortie, responsable des echanges des donnees entre le 
systeme hote et le circuit via un bus PCI ; 

- un module de chiffrement, couple au module entree/sortie, en charge des 
operations de chiffrement et de dechiffrement ainsi que du stockage de toutes 

5 les informations sensibles du circuit ; et 

- des moyens d'isolation entre le module entree/sortie et le module de 
chiffrement, rendant inaccessibles au systeme hote les informations sensibles 
stockees dans le module de chiffrement, et assurant le parallelisme des 
traitements effectues par le module entree/sortie et le module de chiffrement. 

10 L'invention a pour premier avantage de permettre Texecution rapide des 
principaux algorithmes de chiffrement selon deux niveaux de parallelisme, un 
premier parallelisme au niveau des traitements effectues par le module 
entree/sortie et le module de chiffrement, et un deuxieme parallelisme dans 
I'execution des differents algorithmes de chiffrement. 

15 L'invention a pour autre avantage de rendre invisible au systeme hote, toutes 
les ressources d'encryptage mises a la disposition du systeme et d'assurer le 
stockage securise de secrets tels que les cles et les certificats. Les fonctions 
sensibles de la carte (algorithmes et cles) sont toutes localisees dans le 
module de chiffrement et sont inaccessibles depuis le bus PCI. 

20 L'invention a egalement pour avantage de faire cohabiter des implementations 
materielles et logicielles de differents algorithmes de chiffrement sans pertes 
de performance en garantissant les debits pour chacun d'entre eux. 
Elle a encore pour avantage d'etre evolutive par le choix de technologies 
standards a microprocesseurs et logique programmable par opposition a des 

25 implementations plus classiques a base de circuits specifiques (ASIC). 
L'invention permet notamment d'implementer des algorithmes proprietaires par 
simple modification du code des processeurs de chiffrement ou par chargement 
d'un nouveau fichier de configuration des automates de chiffrement du module 
de chiffrement. 



D'autres avantages et caracteristiques de la presente invention apparaitront a 
la lecture de la description qui suit faite en reference a la figure annexee qui 
represente le schema bloc d'une architecture selon 1' invention. 
Par commodite, on designera dans la suite de la description le module de 
5 chiffrement/dechiffrement par "module de chiffrement". 

Les liaisons entre chaque module sont tous des liens bidirectionnels sauf 
specifies. 

Le circuit de chiffrement 1 selon Tinvention s'articule autour de deux modules 
principaux : 

10 - un mcxiule entree/sortie 2 responsable des echanges de donnees entre les 
ressources de chiffrement et un systeme hote HS via un bus PCI ; et 

- un module de chiffrement 3 en charge des operations de chiffrement et de 
dechiffrement ainsi que du stockage des secrets. 

Ces deux modules 2 et 3, delimites respectivement par une ligne fermee en 
15 trait mixte, dialoguent au travers d'une memoire double-port DPR 4 qui permet 
I'echange des donnees et des commandes/statuts entre les deux modules 2 et 

3. 

Une liaison serie SL pilotee par le module de chiffrement 3 permet en outre de 
rentrer les cles de base par un chemin securise SP independent du chemin 
20 fonctionnel normal (bus PCI) repondant ainsi a Texigence imposee par la 
norme FIPS140. 

Cette liaison SL est connectee a la carte 1 via un module EPLD 5, abreviations 
anglo-saxonnes pour "Erasable Programmable Logic Device", couplee entre le 
module entree/sortie 2 et le module de chiffrement 3 et qui assure le coherence 
25 logique entre les modules, 

Le module entree/sortie 2 comporte les elements suivants : 

- un microcontroleur lOP 6 constitue principalement d'un processeur 6i et 
d'une interface PCI 62, integrant des canaux DMA, abreviations anglo- 
saxonnes pour "Direct Memory Access". Ce sont des canaux specifiques, ou 

30 dedies au processeur, par lesquels transitent les donnees echangees entre les 



This Page 



memoires, couplees au processeur, sans utiliser les ressources du 
processeur ; 

- une memoire flash 7 qui est une memoire qui conserve les donnees 
stockees sans source d'alimentation et dont la capacite memoire est par 
exemple de 512 Kilo-octets ; et 

- une memoire SRAM 8, abreviations anglo-saxonnes pour ''Static Random 
Acces Memory", qui est une memoire qui necessite une source d'alimentation 
pour conserver les donnees stockees dans la memoire et dont la capacite 
memoire est par exemple de 2 Mega-octets. 

Les transferts de donnees entre le module de chiffrement 3 et le systeme hote 
HS ont lieu en simultaneity avec les operations de chiffrement realisees par le 
module de chiffrement 3 permettant ainsi d'optimiser les performances globales 
de la carte 1 . 

La memoire flash 7 contient le code du processeur du microcontroleur lOP 6. 
Au demarrage, le processeur recopie le contenu de la memoire flash 7 dans la 
memoire SRAM 8 ; le code s'executant dans cette memoire pour plus de 
performance. 

La memoire SRAM 8 peut aussi etre remplacee par une memoire SDRAM, 
abreviations anglo-saxonnes pour "Synchronous Dynamic RAM", qui est une 
memoire dynamique rapide. 

Le microcontroleur lOP 6 est capable de gerer ce type de memoire sans perte 
de performance. 

Le choix du microcontroleur depend principalement des objectifs de 
performance desires ainsi que de la consommation totale de la carte 
supportant le circuit qui est generalement limitee a 25 W (specification PCI). 
La memoire double-port DPR 4 realise isolation entre le module entree/sortie 
2 et le module de chiffrement 3 rendant ainsi ce dernier inaccessible au 
systeme hote HS. 

Sa capacite memoire est dans I'exemple decrit de 64 Kilo-octets. Elle stocke 
temporairement les donnees qui sont destinees a etre chiffrees ou dechiffrees 
par des automates de chiffrement du module de chiffrement 3. 



Elle est divisee en deux zones : 

- une zone de commandes, par exemple de 4 Kilo-octets, dans laquelle le 
microcontroleur lOP 6 echt les blocs de commandes a destination des 
automates ; et 

- une zone de donnees, par exemple de 60 Kilo-octets, contenant les donnees 
destinees a etre traitees par les automates. 

Le module de chiffrement 3 comporte un premier et un deuxieme sous-module 
de chiffrement 3i et 82, delimites respectivement par une ligne fermee 
discontinue. 

Le premier sous-module 3i comporte un composant SCE 9, abreviations anglo- 
saxonnes pour "Symetric cipher engine", dedie au traitement des algorithmes 
de chiffrement symetriques, couple au bus de la memoire double-port 4. 
Le deuxieme sous-module 32 est dedie au traitement des algorithmes de 
chiffrement asymetriques. 

II est couple au bus de la memoire double-port 4, et comporte un bus interne 
distinct et isole du bus de la memoire double-port 4. 
II comporte en outre : 

- un ou deux processeurs CIP IO1, IO2, abreviations anglo-saxonnes pour 
"Cipher processor" ; 

- un processeur ACE IO2, abreviations anglo-saxonnes pour "Asymetric cipher 
processor", qui dans une variante de realisation remplace I'un des deux 
processeurs de chiffrement CIP IO1, IO2 ; 

- une memoire CMOS 11, par exemple de capacite memoire de 256 Kilo- 
octets, sauvegardee par pile ; 

- une memoire flash PROM 12, abreviations anglo-saxonnes pour 
"Prorammable Read Only Memory", par exemple de capacite memoire de 512 
Kilo-octets ; et 

- une memoire SRAM 13, par exemple de capacite memoire de 256 Kilo- 
octets. 

Comme illustre sur le schema bloc de la figure, le composant SCE 9 et la 
memoire CMOS 1 1 sont couples directement au bus de la memoire double-port 
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DPR 4 tandis que les processeurs CIP 10i et IO2, les memoires flash 12 et 
SRAM 13 sont couplees a un bus distinct et isole du bus de la memoire double- 
port DPR 4 au moyen d'un isolateur de bus 14, appele egalement "transceiver" 
de bus, et represents sur la figure par un bloc avec deux fleches tete-beche. 
5 La memoire flash PROM 12 situee sur le bus des processeurs CIP Id et IO2 
contient I'ensemble des logiciels exploites par le module de chiffrement 3. 
Le role de la memoire SRAM 13 est double : 

- elle permet d'une part, I'execution rapide du code des processeurs CIP IO1 
et IO2 ; le code est recopie dans la memoire ^ la mise sous tension a partir de 

10 la memoire flash PROM 12 ; 

- elle permet d'autre part, de stocker temporairement les donnees pendant 
I'execution des algorithmes. 

Cette particularite de I'architecture garantit I'independance des differents 

automates de chiffrement les uns par rapport aux autres. 
15 Le processeur CIP Id et le processeur ACE IO2 accedent tous deux a la 

memoire double-port DPR 4 pour lire ou ecrire les donnees a chiffrer mals la 

totalite du traitement des algorithmes proprement dit s'effectue dans leur 

espace memoire propre (antSmemoire interne et SRAM 13) sans interferer 

avec le composant SCE 9. 
20 Le composant SCE 9 integre les differents automates de chiffrement 

symetriques (un automate par algorithme) du type DES, RC4, etc. ainsi qu'un 

generateur de nombres aleatoires non represents. 

Chaque automate travaille independamment des autres et accede a la memoire 
double-port DPR 4 pour lire son bloc de commande (inscrit par le 
25 microcontroleur lOP 6) et les donnees a traiter correspondantes. 

Le parallelisme du traitement ainsi realise permet de garantir un debit optimal 
pour chaque algorithme meme en cas d'utilisation simultanee des automates. 
La seule limitation du traitement est imposee par I'acces a la memoire double- 
port DPR 4 qui est partagee par tous les automates. 



La bande passante du bus de donnees vers cette memoire doit done etre 
sup6rieure a la somme des debits de chaque algohthme pour ne pas limiter la 
performance de ceux-ci. 

Le composant SCE 9 est realise en technologie programmable connue 
5 egalement sous Tappellation FPGA, abreviations anglo-saxonnes pour "Field 
Programmable Gate Array," et qui est un circuit, ou puce, programmable 
comportant une grande densite de portes logiques, ce qui apporte toute la 
souplesse necessaire pour implementer, a la demande, de nouveaux 
algorithmes notamment des algorithmes proprietaires. 
10 Les donnees de configuration de ce composant sont contenues dans la 
memoire flash PROM 12, et sont chargees dans le composant SCE 9 a la mise 
sous tension sous controle du processeur CIP 10i. 

Le processeur CIP 10i implemente, selon un logiciel de programmation 
determine, les algorithmes non implementes dans le composant SCE 9. II 
15 implemente aussi les algorithmes asymetriques de type RSA avec ou sans 
I'aide de I'automate specialise implemente par le processeur ACE IO2. 
il prend en compte Tinitialisation des parametres de securite (des) via la liaison 
serie SL. 

L'utilisation d'un processeur performant a ce niveau garantit des performances 
20 optimales dans I'execution des algorithmes ainsi qu'une grande flexibilite pour 
implementation d'algorithmes additionnels. 

On peut aussi, grace a ce processeur, telecharger des algorithmes 
proprietaires via la liaison serie SL, 

Selon un premier mode de realisation, deux processeurs CIP IO1 et IO2 sont 
25 implementes : 

L'un IO1 est requis pour I'execution de I'algorithme RSA, Tautre IO2 implemente 
les algorithmes non encore supportes par le composant SCE 9. 
assiste par un processeur ACE IO2 remplacant l'un des deux processeurs CIP 
IO1 et IO2 du premier mode de realisation, et qui implemente, en logique 
30 programmable, le calcul intensif lie au protocole de Talgorithme RSA. 
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Tous les algorithmes requis sont implementes en logique programmable dans 
des automates du composant SCE 9. 

Ce composant est realise en technologie programmable FPGA. 

La memoire CMOS 1 1 contient les cles et autres secrets de la carte 1 . Elle est 

sauvegardee par une pile et protegee par differents mecanismes de securite 

SM 15 connus qui, en cas d'anomalies sont traduites comme une tentative 

d'intrusion et effacent son contenu. 

Ces anomalies sont par exemple dues a : 

- une elevation ou un abaissement anormal de la temperature ; 

- une elevation ou un abaissement anormal de la tension d'alimentation ; 

- un desenffichage de la carte ; 

- une tentative d'intrusion physique (du cote de la carte ou du systeme hote) ; 

- etc. 

Chacun des evenements ci-dessus declenche un signal d'alarme qui agit sur la 
remise a zero de la memoire CMOS 11. 
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REVENDICATIQNS 

1. Architecture d'un circuit (1) de chiffrement traitant simultanement differents 
5 aigorithmes de chiffrement, le circuit etant apte a etre couple a un systeme 

hole (HS) hebergd par une machine informatique, caracterisee en ce que le 
circuit comporte : 

- un module entree/sortie (2), responsable des echanges des donnees entre 
le systeme hote (HS) et le circuit (1 ) via un bus dedie (PCI), 

10 - un mc^ule de chiffrement (3), couple au module entree/sortie (2), en charge 
des operations de chiffrement et de dechiffrement ainsi que du stockage de 
toutes les informations sensibles du circuit (1 ) ; et 

- des moyens d'isolation (4) entre le module entree/sortie (2) et le module de 
chiffrement (3), rendant inaccessibles au systeme hote (HS) les informations 

15 sensibles stockees dans le module de chiffrement (3), et assurant le 
parallelismes des traitements effectues par le module entree/sortie (2) et le 
module de chiffrement (3). 

2. Architecture selon la revendication 1 , caracterisee en ce que les moyens 
20 d'isolation du circuit (1) comporte une memoire double-port (4) couplee entre le 

module entree/sortie (2) et le module de chiffrement (3), comportant son propre 
bus et assurant a la fois Fechange des donnees, des commandes et des statuts 
entre les deux modules (2 et 3), et I'isolation entre les deux modules (2 et 3). 

25 3. Architecture selon Tune quelconque des revendications 1 et 2, caracterisee 
en ce que le module de chiffrement (3) comporte : 

- un premier sous-module de chiffrement (3i), dedie au traitement des 
aigorithmes de chiffrement symetriques, couple au bus de la memoire double- 
port (4) ; 

30 - un deuxieme sous-module de chiffrement (32) dedie au traitement des 
aigorithmes de chiffrement asymetriques (4), couple au bus de la memoire 
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double-port (4), et comportant un bus interne distinct et isole du bus de la 
memoire double-port (4) ; et 

- une memoire CMOS (11) couplee a la memoire double-port (4) via le bus de 
la memoire double-port contenant les cles de chiffrement ; et 

5 

4. Architecture selon la revendication 3, caracterisees en ce que le premier 
sous-module de chiffrement (3i) comporte un composant d'encryptage (9) 
couple a la memoire double-port (4) via ie bus de la memoire (4), comportant 
differents automates de chiffrement dedies respectivement au traitement des 

10 algorithn]es de chiffrement symetriques, et en ce que le deuxieme sous-module 
de chiffrement (82) comporte au moins deux processeurs de chiffrement (IO1 et 
IO2), dedies respectivement au traitement des algorithmes de chiffrement 
asym^triques, couples au module d'encryptage (9) via le bus interne du 
deuxieme sous-module (82) qui est isole du bus de la memoire double-port par 

15 un isolateur de bus (14). 

5. Architecture selon la revendication 4, caracterisee en ce que les deux 
processeurs (Id et IO2) du module de chiffrement (3) sont de type CIP. 

20 6. Architecture selon la revendication 4, caracterisee en ce que I'un (Id) des 
processeurs de chiffrement (10, et IO2) est de type CIP. et en ce que I'autre 
(IO2) est detype ACE. 

7. Architecture selon la revendication 6, caracterisee en ce que le processeur 
25 de chiffrement (IO2) de type ACE est realise en technologie programmable 

FPGA. 

8. Architecture selon Tune quelconque des revendications 4 a 7, caracterisee 
en ce que le module d'encryptage (9) est de type SCE. 

30 
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9. Architecture selon la revendication 8, caracterisee en ce que le module 
d'encryptage (9) est realise en technologie programmable FPGA. 

10. Architecture selon I'une quelconque des revendications 3 a 9, caracterisee 
5 en ce que le deuxieme sous-module de chiffrement (Sz) comporte en outre une 

memoire flash PROM (12),et une memoire SRAM (13) couples au bus interne 
du sous-module (32). 

11. Architecture selon I'une quelconque des revendications 3 a 10, 
10 caracterisee en ce que la memoire CMOS (11) est protegee par des 

mecanismes de securite (15) declenchant la remise a zero de la memoire 
CMOS (1 1 ) en cas d'alarme. 

12. Architecture selon i'une quelconque des revendications 1 a 11, 
15 caracterisee en ce que le module entree/sortie (2) comporte : 

- un microcontroleur (6) comportant un processeur entree/sortie (6i) et une 
interface PCI (62) integrant des canaux DMA charges d'executer les transferts 
de donnees entre le systeme hote (HS) et le circuit (1) ; 

- une memoire flash (7) contenant le code du processeur entre/sortie (61) ; et 
20 - une memoire SRAM (8) qui regoit une copie du contenu de la memoire flash 

(7) au demarrage du processeur entree/sortie (61). 

13. Architecture selon I'une quelconque des revendications precedentes, 
comportant une liaison serie (SL) permettant de rentrer des cles de base par 

25 un chemin securise independant du bus PCI, caracterisee en ce que la liaison 
est pilotee par le module de chiffrement (3). 
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14. Architecture selon la revendication 13, caracterisee en ce que la liaison 
serie (SL) permet le telechargement d'algorithmes proprietaires dans le 
premier sous-module de chiffrement (3i). 
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ABREGE DESCRIPTIF 

Architecture d*un circuit (1) de chiffrement traitant simultanement differents 
algorithmes de chiffrement, le circuit etant apte a etre couple a un systeme 

5 hote (HS) heberge par une machine informatique. Le circuit (1) comporte un 
module entree/sortie (2), responsable des echanges des donnees entre le 
systeme hote (HS) et le circuit via un bus d6die (PCI), un module de 
chiffrement (3), couple au module entree/sortie (2), en charge des operations 
de chiffrement et de dechiffrement ainsi que du stockage de toutes les 

10 informatipns sensibles du circuit ; et des moyens d'isolation (4) entre le module 
entree/sortie (2) et le module de chiffrement (3), rendant inaccessibles au 
systeme hote (HS) les informations sensibles stockees dans le module de 
chiffrement (3), et assurant le parallelismes des traitements effectues par le 
module entree/sortie (2) et le module de chiffrement (3). 

15 Les applications vont notamment a la securisation "materiel le" de serveurs ou 
stations informatiques. 
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